2019/07/31 AliEaters #12 LT Cyber Security Consulting

1. Cloud 環境向け F-Secure
サイバーセキュリティコンサルティング
Shinichiro Kawano
Corporate Sales
F-Secure K.K.
Shinichiro.Kawano@f-secure.com
2019/07/31 Alibaba Cloud Developers Meetup #12 - AliEaters

2. 2
自己紹介
河野 真一郎
エフセキュア株式会社 法人営業部
Unix -> OSS/Linux (この辺りからCloud関連) -> Security
F-Secure フィンランドが本社 セキュリティソフト/サービス
趣味 ”サウナと水風呂” あと テクノポップ！！
Here we go! every body come on rock ‘n’ roll!

3. • 1988年に設立
• 世界25か国、社員数 約1600人
• 2018年 売上高 約235億円
• ヘルシンキのNASDAQ OMXに上場
• 100ヵ国でビジネスを展開し、オペレーター数200以上、リセラー数1000以上
• 世界中でコーポレートカスタマー数100,000以上
• ヨーロッパでサイバークライムインシデントが起こった際 史上最多の依頼数
• 過去8年間で6回のAVテスト最優秀保護賞を受賞した唯一の企業
3
F-Secure INSHORT

4. 4
F-Secureは
サイバーセキュリティ コンサルを含む
トータルサービスをご提供可能
(4) レッドチーミング
サイバーセキュリティ
コンサルティング

5. F-Secure 20195
今日のお題

6. F-Secure 20196
クラウド環境向け
サイバーセキュリティ
コンサルティング

7. • ヨーロッパでサイバークライムインシデントが
起こった際 調査機関として
史上最多の依頼数
7
F-Secure CSS
サイバーセキュリティ コンサルサービス

8. © F-Secure Partner Confidential8
F-SecureのWebアプリケーションセキュリティアセスメントは、
コードに存在する脆弱性とWebアプリケーションの実装を提供
します。基礎となる技術は F-Secure 独自のテクノロジーです。
Webアプリケーションアセスメントへの当社のアプローチは、
従来提供してきた豊富な実績により、様々なお客様の要件
に対応し、対象はフロントエンド、ミドルウェア、バックエンドシス
テムをカバーします。
Webセキュリティアセスメントでは、以下の診断を提供します
当社のAssessmentは、お客様のビジネスの観点から重要性
が高く、コスト効果の高いアプリケーションにフォーカスしています。
F-Secure の Assessmentは、コンサルタントによるアセスメント
手法とF-Secure 独自ツールの組み合わせにより、特定の脆
弱性を調査し、深刻なリスクを引き起こす可能性のある根本
的な問題を特定します。
・Server architecture and security specifications
・Business logic
・Authentication, access control, and authorization
・Use of cryptography
・Session management
・Error condition handling and exception management
・Data validation, confidentiality, and integrity
・Management interfaces
・Privacy concerns
インフラ,ミドルウェア
ソースコードレベル
Webアセスメント

9. © F-Secure Partner Confidential9
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。（基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます）。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト
ソーシャル攻撃、
物理セキュリティ含む

10. © F-Secure Partner Confidential10
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。（基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます）。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト
クラウド環境特化
診断テスト実績多数

11. F-Secure 201911
とは言うものの

12. F-Secure 201912
使ってるCloud環境
そもそも、どこから
診断すれば良い？

13. F-Secure 201913
使用中の環境、
今からCloud持ってく
どこを診断すれば？

14. F-Secure 201914
そんなお悩みを
持っている方向け

15. F-Secure 201915
“Pre-Study”

16. F-Secure 201916
Pre-Study
専門コンサルタントが
現状ヒアリング

17. F-Secure 201917
Pre-Study成果物(1)
セキュリティ
脅威モデリング資料

18. F-Secure 201918
Pre-Study成果物(2)
セキュリティ
リスク分析レポート

19. F-Secure 201919
Pre-Study成果物(3)
セキュリティ診断
ロードマップレポート

20. F-Secure 201920
(1)どこに脅威がある？
(2)現状リスク分析
(3)診断するならここ

21. F-Secure 201921
前ページ(1)-(3)
F-Secure の
専門家がまとめる

22. F-Secure 201922
これが
Pre-Study

23. F-Secure 201923
Pre-Studyだけでも
サービスご提供可能

24. F-Secure 201924
この話の
最初のスライドを
思い出してみる

25. F-Secure 201925
使ってるCloud環境
そもそも、どこから
診断すれば良い？

26. F-Secure 201926
使用中の環境、
今からCloud持ってく
どこを診断すれば？

27. F-Secure 201927
お悩みの方へ
Pre-Study

28. F-Secure 201928
もちろん
Pre-Study は
最初の一歩

29. F-Secure 201929
脅威モデリング
リスク分析の次は
いよいよ 攻撃テスト

30. F-Secure 201930
本番サイト相当の
テスト対象サイトへ
ホワイトハッカー攻撃

31. © F-Secure31
国内お客様事例
Cloud環境セキュリティ
コンサルティング

32. © F-Secure32

33. © F-Secure33
・リアリティのある
テストシナリオ
・パブリッククラウドに
特化した診断
・豊富なサンプル資料
Web診断含む

34. F-Secure 201934
One more thing,
クラウド環境向け
マルウェア対策

35. © F-Secure35
メール・Webゲートウェイ
（アンチウイルスLinuxゲートウェイ）
Windows PC
Linux PC
Apple Mac PC
集中管理
（ポリシーマネージャ）
LinuxサーバWindowsサーバ
・仮想環境上のパフォーマンス改善ソフト
（仮想スキャンサーバ）
Exchange & XenApp
サーバ
（EMCストレージ対応）
ビジネススイート プレミアム デバイス課金
（※但し、サーバ台数は全数の20%以内）
1年間 2年間 3年間 4年間 5年間
100-499 5,750 8,340 10,930 13,230 15,530
500-999 4,370 6,340 8,310 10,060 11,810
1000-2499 4,410 6,010 7,880 9,540 11,200
2500-9999 2,760 4,010 5,260 6,370 7,480
10000- 2,300 3,340 4,380 5,300 6,220
社内 PC, Server, E-Mail / Web Gateway (スパム対策, URLフィルタ,ウイルスチェック)
デバイス数課金, Server/PC 同一価格
PC, サーバ向け1年契約標準価格
100台 2,875円
500台 2,185円
大型案件向け F-Secure Business Suite
包括ライセンス

36. クラウド環境, オンプレ環境向け 国内ユーザ様 F-Secure お客様例
F-Secure Policy
Manager
管理／アップデート
Windows/Linux Servers
管理／アップデート
自社 データセンタ
DMZ
Windows/Linux Servers
管理／アップデート
Windows/Linux Servers
管理／アップデート
DMZ
Windows/Linux Servers
LAN
ウイルス定義ファイル
バージョンアップ
ファイル配信
36
VPC
Cloud
1,000台超 の Windows/Linux Server,
12,000台以上の PC を 1台の管理サーバで統合管理
LAN

37. © F-Secure37
まとめます

38. © F-Secure38
まとめ (1)
F-Secureコンサル
クラウド実績多数

39. © F-Secure39
まとめ (2)
F-Secureコンサル
まずは”Pre-Study”

40. © F-Secure40
まとめ (3)
F-Secure 100契約
287,500円 / 年間